勒索病毒“永恒之蓝”大爆发

2017年5月12日20时左右，新型“蠕虫”式勒索病毒“WannaCry”爆发。截至目前，该病毒已经席卷包括中国、美国、俄罗斯及欧洲在内的100多个国家。我国部分高校内网、大型企业内网和政府机构专网遭受攻击，被感染的组织和机构已经覆盖了几乎所有地区，影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域。目前被感染的电脑数字还在不断增长中。

　　“WannaCry”病毒属于蠕虫式勒索软件，通过利用445端口的SMB的Windows漏洞MS17—010（被称为“永恒之蓝”）主动传播感染受害者。，攻击者利用该漏洞，针对关闭防火墙的目标机器，通过445端口发送预先设计好的网络数据包文，实现远程代码执行。当系统被该勒索软件感染后，一是会弹出勒索对话框，采用AES和RSA加密算法加密系统中的照片、图片、文档、压缩包、音频、视频、可执行文件等类型的文件；二是会将自身复制到系统的每个文件夹下，并重命名为“@WanaDecryptor@.exe”；三是生成随机IP并发起新的网络攻击。由于该勒索软件的加密强度大，目前被加密的文件还无法解密恢复。

　　当系统被该勒索软件入侵后，弹出勒索对话框：

　　加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，被加密的文件后缀名被统一修改为“。WNCRY”。中病毒用户重要电脑文档被加密，需支付价值300美元的比特币解锁。

　　在3月MS17—010漏洞刚被曝出的时候，微软已经针对Win7、Win10等系统在内提供了安全更新；此次事件爆发后，微软也迅速对此前尚未提供官方支持的Windows XP等系统发布了特别补丁。

　　针对遭受攻击的情况，建议用户采取如下措施：

　　1. 在无法判断是否感染该勒索软件的情况下，立即断网，检查电脑主机，修复MS17-010漏洞、关闭445端口。

　　2. 对已经感染勒索软件攻击的机器建议立即隔离处置，防止感染范围进一步扩大。

　　3. 建议用户关闭并非必需使用的Server服务，不要点击陌生的短链接。

　　4. 及时备份重要业务系统数据，针对重要业务终端进行系统镜像，制作足够的系统恢复盘或者设备进行替换。